Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Substack est une plateforme américaine de newsletters et de publication en ligne qui permet aux auteurs, journalistes et créateurs de publier des newsletters gratuites et payantes, des podcasts et des notes courtes. Les intégrations Substack telles que le formulaire d'abonnement, l'embed d'article et le widget Notes peuvent être ajoutées à des sites tiers et chargent du JavaScript et des cookies depuis substack.com et substackcdn.com. La plateforme est hébergée sur AWS aux États Unis derrière Cloudflare et utilise Stripe pour les abonnements payants. Du point de vue du RGPD et de la directive ePrivacy, l'intégration de widgets Substack nécessite un consentement préalable, une information transparente dans la politique de confidentialité et un encadrement documenté du transfert de données vers les États Unis sur la base des Clauses Contractuelles Types.
Substack est une plateforme américaine de newsletters et de publication en ligne fondée en 2017 et dont le siège est à San Francisco. Elle permet aux auteurs, journalistes, podcasteurs et créateurs de publier des newsletters gratuites et payantes, d''héberger des podcasts et de partager des publications courtes via la fonctionnalité Notes. Substack gère l''envoi des emails, l''hébergement des pages de publication, le traitement des paiements par Stripe pour les abonnements payants et les statistiques d''audience. Les éditeurs peuvent également intégrer un formulaire d''abonnement, l''embed d''un article ou le widget Notes sur des sites tiers, ce qui amène le navigateur du visiteur à charger des scripts et à recevoir des cookies depuis substack.com et substackcdn.com.
Lorsqu''un embed Substack se charge sur un site, le navigateur du visiteur établit une connexion directe avec substack.com et substackcdn.com et peut recevoir des cookies tels que substack.sid et connect.sid pour la session et l''authentification, AWSALB pour la répartition de charge AWS et __cf_bm pour la protection anti bot Cloudflare. Substack reçoit également l''URL de la page, l''adresse IP, l''agent utilisateur et toute donnée saisie dans le formulaire d''abonnement, généralement une adresse email. Les emails envoyés via Substack incluent un pixel de suivi et des liens réécrits qui enregistrent les ouvertures et les clics, ce qui constitue un suivi du comportement des abonnés. Ces éléments sont des données personnelles au sens de l''article 4(1) du RGPD.
Les embeds Substack écrivent et lisent des cookies qui ne sont pas strictement nécessaires à un service expressément demandé par l''utilisateur. L''article 5(3) de la directive ePrivacy impose donc un consentement préalable et éclairé avant tout chargement. Le même raisonnement s''applique aux pixels de suivi des emails, traités par les lignes directrices EDPB 03/2022 sur les pratiques trompeuses et le considérant 32 de la directive ePrivacy. L''éditeur du site et Substack agissent comme des responsables de traitement indépendants pour des opérations distinctes, et l''éditeur reste responsable de la licéité vis à vis des visiteurs en application des articles 5 et 26 du RGPD. Pour les abonnements payants, la relation contractuelle existe entre Substack et l''abonné, mais l''éditeur doit informer les abonnés du flux de données et du rôle de Stripe comme sous traitant de paiement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Les formulaires d''abonnement Substack, les embeds d''article et le widget Notes doivent être bloqués par défaut et chargés uniquement après recueil d''un consentement valide via une plateforme de gestion du consentement. Le consentement doit être libre, spécifique, éclairé et univoque, et il doit être aussi simple à refuser qu''à accepter. La bannière de consentement doit mentionner explicitement Substack, les catégories de données collectées, le transfert vers les États Unis et la durée de conservation. Une case d''opt in distincte est nécessaire pour l''inscription effective à la newsletter, conformément à l''article 7 du RGPD et aux transpositions nationales de la directive ePrivacy telles que la loi Informatique et Libertés en France ou la TDDDG en Allemagne.
Substack Inc. est établie en Californie et héberge les données des abonnés sur l''infrastructure AWS aux États Unis derrière Cloudflare. Les données personnelles des résidents européens sont donc transférées hors de l''Espace économique européen. Ces transferts reposent sur les Clauses Contractuelles Types au sens de l''article 46(2)(c) du RGPD et, dans de nombreux cas, sur le Data Privacy Framework UE États Unis lorsque Substack et ses sous traitants sont certifiés. Les responsables de traitement doivent réaliser une analyse d''impact des transferts qui examine les lois américaines de surveillance comme FISA 702 et l''Executive Order 12333, documenter les mesures supplémentaires et conserver les preuves dans le registre des activités de traitement prévu par l''article 30 du RGPD.
Pour utiliser Substack légalement sur un site visant des utilisateurs européens, bloquez tous les embeds Substack avant consentement, déployez une plateforme de gestion du consentement avec un interrupteur dédié à Substack et déclarez Substack comme destinataire et sous traitant dans la politique de confidentialité, avec la base légale, la durée de conservation et le mécanisme de transfert. Signez ou acceptez l''avenant de traitement des données Substack lorsque cela s''applique, documentez les Clauses Contractuelles Types et l''analyse d''impact des transferts, et révisez l''inventaire des cookies au moins une fois par an. Pour les abonnements payants, renvoyez vers les politiques de confidentialité de Substack et de Stripe et assurez vous que les emails marketing respectent le droit d''opposition et le retrait du consentement à tout moment.
Les sites web utilisant Substack doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque Substack constitue la plateforme principale de newsletter et d'audience pour un responsable de traitement ciblant des résidents européens, en raison de la collecte systématique d'adresses email, de données d'abonnement et de métriques d'engagement combinée à des transferts hors UE vers les États Unis. L'analyse doit couvrir la base légale des communications marketing, la conservation des dossiers d'abonnés, le profilage par les ouvertures et les clics, l'utilisation de Stripe pour les offres payantes ainsi que les mesures supplémentaires liées à AWS et Cloudflare, conformément aux recommandations EDPB 01/2020.
Exemple de texte de consentement
Cette page contient un formulaire d'abonnement Substack qui charge du contenu depuis substack.com et substackcdn.com et dépose des cookies de session, d'authentification et de protection anti bot. Votre adresse email et vos données d'engagement seront traitées par Substack Inc. aux États Unis. Acceptez vous le chargement des intégrations Substack ?
Domaines tiers contactes
substack.com*.substack.comsubstackcdn.combucketeer-*.s3.amazonaws.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| substack.sid | HTTP cookie | Session | Session and authentication cookie for Substack publishers and subscribers, used to keep users signed in to substack.com and to identify the current session when an embed is loaded. |
| connect.sid | HTTP cookie | Session | Express.js session identifier set by the Substack backend to maintain the server side session state when interacting with substack.com and with Substack embeds. |
| substack_email | Tracking pixel and cookie | Up to 2 years | Email tracking identifier set when a recipient opens a newsletter email or clicks a rewritten link, used by Substack to measure opens, clicks, and subscriber engagement. |
| __cf_bm | HTTP cookie | 30 minutes | Cloudflare bot management cookie placed in front of substack.com to distinguish humans from automated traffic and protect the service from abusive bots. |
| AWSALB | HTTP cookie | 7 days | AWS Application Load Balancer stickiness cookie that routes the visitor requests to the same backend instance for the duration of a session. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Un formulaire d'abonnement, un embed d'article ou le widget Notes de Substack déposent généralement substack.sid et connect.sid pour la session et l'authentification, AWSALB pour la persistance du load balancer AWS et __cf_bm pour la protection anti bot Cloudflare. L'embed expose également l'adresse IP du visiteur, son agent utilisateur et l'URL de la page à substack.com et substackcdn.com.
Oui. Les embeds Substack déposent des cookies non strictement nécessaires : l'article 5(3) de la directive ePrivacy impose donc un consentement préalable et éclairé. L'embed doit être bloqué par défaut et chargé uniquement après acceptation via une plateforme de gestion du consentement mentionnant explicitement Substack et le transfert vers les États Unis.
Pour les embeds et les newsletters marketing, la base légale est le consentement au sens de l'article 6(1)(a) du RGPD, combiné à l'article 5(3) ePrivacy. Pour les abonnements payants, le traitement des données de l'abonné est nécessaire à l'exécution du contrat d'abonnement au sens de l'article 6(1)(b) du RGPD. L'intérêt légitime est généralement inadapté pour les cookies marketing ou les pixels de suivi dans les emails.
Oui. Substack Inc. est établie à San Francisco et stocke les données des abonnés sur l'infrastructure AWS aux États Unis derrière Cloudflare. Les transferts reposent sur les Clauses Contractuelles Types au sens de l'article 46(2)(c) du RGPD, complétées par le Data Privacy Framework UE États Unis lorsque Substack et ses sous traitants sont certifiés, et doivent être documentés dans une analyse d'impact des transferts.
Une AIPD est recommandée dès lors que Substack constitue la plateforme principale de newsletter et d'audience d'un responsable visant des résidents européens, car elle combine collecte systématique de données personnelles, profilage par les ouvertures et clics et transferts internationaux. L'AIPD doit couvrir la base légale, la conservation, les mesures supplémentaires pour l'hébergement aux États Unis et le rôle de Stripe pour les abonnements payants.
Bloquez tous les embeds Substack avant consentement, configurez un interrupteur dédié à Substack dans votre plateforme de gestion du consentement, déclarez Substack comme destinataire et sous traitant dans la politique de confidentialité, documentez les Clauses Contractuelles Types et une analyse d'impact des transferts, et prévoyez un opt in clair pour la newsletter elle même. Respectez le retrait du consentement et le droit d'opposition à tout moment.
Les alternatives courantes incluent Beehiiv et ConvertKit pour les newsletters de créateurs, Ghost comme plateforme de publication open source auto hébergeable, Mailchimp pour l'email marketing généraliste et Buttondown pour des newsletters payantes minimalistes. Twitter Revue a été arrêté et n'est plus disponible. La région d'hébergement, les flux de données par défaut et les conditions du contrat de sous traitance varient fortement selon les fournisseurs et doivent être évalués avant toute migration.
Listez Substack comme destinataire tiers, nommez les cookies déposés par ses embeds, indiquez leur durée et leur finalité, déclarez le transfert vers les États Unis avec les garanties applicables et renvoyez vers la politique de confidentialité et la politique de cookies de Substack. Si vous proposez des abonnements payants, mentionnez également Stripe comme prestataire de paiement et décrivez la base légale des emails marketing.